Ungepatchte Schwachstellen in Fortinet- und Zoho-Produkten werden von Angreifern ausgenutzt
Cyberkriminelle nutzen ungepatchte Schwachstellen in Fortinet- und Zoho-Produkten aus und machen damit viele Unternehmen angreifbar. Einem Bericht von Check Point Research zufolge nutzen Angreifer diese Schwachstellen bereits seit mehreren Monaten aus, wobei die Zahl der Angriffe in den letzten Wochen deutlich zugenommen hat.
Benutzer von Zoho-Produkten, die die ManageEngine des Unternehmens verwenden und die Sicherheitsupdates zur Behebung von CVE-2022-47966 (CVSS-Score: 9.8), einer Schwachstelle für die Remotecodeausführung vor der Authentifizierung, nicht installiert haben, sind für einen weiteren Angriff mehrerer Bedrohungsakteure anfällig. Infolgedessen nutzen Bedrohungsakteure diese Schwachstelle nun als Angriffsvektor, um Malware zu installieren, die Nutzdaten der nächsten Stufe ausführen kann.
Beide Schwachstellen haben einen Schweregrad von 9,8 von 10 und werden in zwei nicht miteinander verbundenen Produkten gefunden, die für die Sicherung großer Netzwerke wichtig sind. Bei der ersten, CVE-2022-47966, handelt es sich um eine Schwachstelle in 24 verschiedenen Zoho ManageEngine-Produkten, die eine Remotecodeausführung vor der Authentifizierung ermöglicht. Sie wurde in Wellen von Oktober bis November letzten Jahres gepatcht. Die zweite Sicherheitslücke, CVE-2022-39952, betrifft ein Fortinet-Produkt namens FortiNAC und wurde erst letzte Woche gepatcht.
Die Angreifer, die hinter den Kampagnen stehen, zielen mit einer Vielzahl von Exploits auf anfällige Systeme ab. Sobald sie sich Zugang zu einem System verschafft haben, installieren sie Hintertüren, über die sie ihre Angriffe fortsetzen können. Durch das Senden einer standardmäßigen HTTP-POST-Anfrage mit einer speziell gestalteten Antwort unter Verwendung der Security Assertion Markup Language können Angreifer aus der Ferne bösartigen Code ausführen. (SAML ist eine offene Standardsprache für den Austausch von Authentifizierungs- und Autorisierungsdaten zwischen Identitätsanbietern und Dienstanbietern). Zoho verwendet eine veraltete Version von Apache Santuario für die Validierung von XML-Signaturen, was zu diesem Fehler führt.
Horizon3.ai, ein Unternehmen für Penetrationstests, soll bereits einen Tag nach der Veröffentlichung eines Proof-of-Concept (PoC) im vergangenen Monat mit den Angriffen begonnen haben. Das Hauptziel der bisher entdeckten Angriffe war die Bereitstellung von Tools auf anfälligen Hosts wie Netcat und Cobalt Strike Beacon. Bei einigen Angriffen wurde versucht, die AnyDesk-Software für den Fernzugriff zu installieren, während andere versuchten, die Buhti-Ransomware auf Windows zu installieren.
Zu den Quellen für diesen Beitrag gehört ein Artikel in ArsTechnica.